'readme.exe' 딸린 메일 읽지마세요
첨부파일에 'readme.exe' 가 들어있는 e-메일은 바로 지워라.
님다 바이러스의 감염경로는 보통 바이러스보다 훨씬 다양하다. 우선 기존의 웜 바이러스처럼 e-메일의 첨부파일(readme.exe) 을 실행할 때 곧바로 감염된다.
또 아웃룩 프로그램 중에는 결함이 있는 제품도 있어 이 경우 e-메일을 보기만 해도 첨부파일이 저절로 실행돼 감염될 수 있다.
개인의 경우 감염돼도 PC에 직접적인 피해는 없다. 하지만 주소록에 있는 e-메일 주소들로 바이러스 e-메일을 계속 발송하는 한편 웹서버를 계속 공격해 시스템이 다운되거나 접속 속도가 느려진다.
메일에 첨부되는 파일명은 Readme.exe (57,344 바이트) 이며 그 제목은 다양한데 감염된 사용자 PC의 파일명에서 얻어오며 웜을 전파시키기 위해 인터넷 임시 폴더내 HTM, HTML 파일을 뒤져 주소을 얻어온다.
메일에 첨부된 Readme.exe 파일을 실행하거나 메일을 읽어 보아도 (미리 보기 하여도) 이 웜에 감염될 수 있다. 또한 감염된 시스템의 모든 로컬 드라이브 (CD-ROM 드라이브 포함)가 공유되므로 보안상 문제가 될 수 있다.
치료방법
[윈도우 95/98/ME 계열]
C:WindowsSystem 폴더에 load.exe(57,344바이트) 파일이 존재하는지 확인하십시오.
1. 존재하지 않을 경우
(1) 공유되어 있는 폴더를 해제합니다.
(2) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.
(3) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오.
2. 존재하는 경우
(1) 공유되어 있는 폴더를 해제합니다.
(2) 윈도우 [시작]-[실행]에서 'system.ini'를 입력합니다.
(3) system.ini의 내용 중 'Shell = explorer.exe load.exe -dontrunold'로 되어 있는 부분을 'Shell = explorer.exe'로 수정합니다.
(4) 시스템을 재부팅합니다.
(5) C:WindowsSystem 폴더에 있는 load.exe(57,344바이트) 파일을 삭제합니다.
(6) C:WindowsSystem 폴더에 있는 riched20.dll(57,344바이트, 숨김속성) 파일을 삭제합니다.
- 정상적인 riched20.dll 파일이 존재할 수 있으므로 반드시 파일크기를 확인한 후 삭제하시기 바랍니다.
(7) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.
(8) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오.
* 공유폴더를 설정해 놓을 경우 네트워크를 통해 재감염이 될 수 있으므로, 반드시 해제하고 사용하시기 바랍니다.